防火墙基本技术和原理：教案分析.pptVIP

防火墙基本技术和原理 　 严峻的网络安全形势，促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术，涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。 防火墙的分类 单机防火墙网络防火墙 软件防火墙硬件防火墙 防火墙的概念 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络 的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身 具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全 的基础设施。 防火墙是置于不同网络安全域之间的高级访问控制设备，是不同 网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制(允 许、拒绝、监视、记录)进出网络的访问行为。 防火墙的功能特点 1、限制人们从一个特别的控制点进入； 2、防止入侵者接近你的其它防御设施； 3、限定人们从一个特别的点离开； 4、有效地阻止破坏者对你的计算机系统进行破坏。  防火墙的硬件技术 1、基于Intel x86系列架构的产品，又被称为工控机防火墙 基于Intel x86系列架构的防火墙 优点：﹡ 高灵活性、高扩展性、系统升级容易 ﹡ 考虑了各种应用的需要，具有一般化的通用体系结构和指令集，容易支持复杂的运算并容易开 发新的功能 ﹡ 随着CPU性能的快速提高，防火墙的处理速度和能力将会大幅度提高，能很好的适应多接口百 兆，千兆防火墙的计算要求 基于专用集成电路 （ASIC）技术的防火墙 ASIC作为硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能。主要应用在国外厂商的产品中，如NetScreen。是公认的使防火墙达到线速千兆的技术方案。 基于网络处理器（NP）技术的防火墙 NP（网络处理器）是专门为处理数据包而设计的可编程处理器，它具有完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口以及第三方支持能力 防火墙的类型 1、简单包过滤防火墙 2、状态检测包过滤防火墙 3、应用代理防火墙 简单包过滤防火墙 优点： 1、速度快、性能高 2、对应用程序透明 简单包过滤防火墙的工作原理 状态检测包过滤防火墙 1、安全性高 能够检测所有进入防火墙网关的数据包 根据通信和应用程序状态确定是否允许包的通过 2、性能高 在数据包进入防火墙时就进行识别和判断 3、伸缩性好 可以识别不同的数据包 支持160多种应用，包括Internet应用、数据库应用、多媒体应用等 用户可方便添加新应用 4、对用户、应用程序透明 状态检测包过滤防火墙的工作原理 应用代理防火墙 优点： 1、安全性高 2、提供应用层的安全 应用代理防火墙的工作原理 核检测防火墙的工作原理 防火墙核心技术比较 防火墙的三种工作模式 1、路由模式 路由模式 透明模式 混合模式 防火墙的功能 访问控制 透明代理 身份认证 URL过滤 地址绑定 正向及反向NAT 流量控制 入侵检测 日志审计 IDS、防病毒联动 VLAN支持 VPN功能 双机热备 访问控制 透明代理 身份认证 URL过滤 地址绑定 正向NAT转换 反向NAT转换 流量控制 日志审记 入侵检测 与IDS联动 与防病毒网关联动 VLAN支持 VPN功能 双机热备 常见的防火墙性能指标 1、最大位转发率 2、吞吐量 3、延迟 4、丢包率 5、背靠背 6、最大并发连接数 7、最大并发连接建立速率 8、最大策略数 9、平均无故障间隔时间 10、支持的最大用户数 最大位转发率 1、定义：防火墙的位转发率指在特定负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数 2、最大位转发率指在不同的负载下反复测量得出的位转发率数值中的最大值 吞吐量 1、定义：在不丢包的情况下能够达到的最大包转发率。 2、衡量标准：吞吐量越大，说明防火墙数据处理能力越强；吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能。 3、吞吐量是防火墙在各种帧长的満负载（100M或1000M）双向UDP数据包情况下的稳定性表现，是其它指标的基础。 4、以太网吞吐量最大理论值称为线速，即指网络设备有足够的能力以全速处理最小的数据封包转发。 延迟 1、定义：延迟通常是指从测试数据帧的最后一个比特进入被测设备端口开始，至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。 2、衡量标准：现在的网络应用种类非常复杂，许多应用对延迟非常敏感（如音频、视频等）而网络中加入防火墙必然会增加传输延迟，所以较低的延迟对防火墙来说也是不可或缺的。